樊 ,,英杰

(空军工程大学,西安 710051)

0 概述

目前,高级可持续性威胁(Advanced Persistent Threat,APT)[1]是网络空间安全面临的重大问题之一。APT攻击由计算机和社会工程学专家共同完成,攻击者一般具有国家背景[2]。APT具有攻击周期较长、使用一个或多个0day漏洞、攻击程序功能强大复杂、攻击路径多样的特点。

APT攻击主要分为破坏型和窃密型2种[3]。2010年1月,疑似美国和以色列的黑客组织利用CVE-2010-2568等多个0day漏洞[4]编写了著名的Stuxnet病毒,用其对伊朗的核设施进行破坏。2011年10月,黑客组织利用CVE-2011-3402漏洞编写DUQU病毒感染伊朗和苏丹的计算机并进行窃密行动。在如今的和平时期,为窃取目标的敏感信息,APT被很多攻击者所使用[5]。

为防范窃密型APT的攻击,需要对其行为进行建模。本文通过对窃密型APT攻击进行详细分析,总结APT攻击各阶段的攻击手段及特点,在此基础上,建立一种APT攻击分层表示模型APT-HRM(APT Hierarchical Representation Model)。在形式化定义窃密型APT攻击后,利用该模型对DUQU 2.0 APT攻击进行分析,并检验模型的性能。

1 相关工作

目前,国内外学者对APT建模问题的研究已经取得较多成果。文献[6]研究窃密型APT攻击的表示及预测方法,针对现有APT攻击检测和防御较困难的问题,提出一种树形结构的窃密型APT攻击表示方法和预测方法。文献[7]针对在移动目标防御中没有合适攻击表示方法的问题,提出一种结合攻击图和攻击树的层次攻击表示模型HARM。文献[8]通过对APT攻击手段进行分析,提出APT的5个攻击阶段。文献[9]研究APT的攻击特点,通过对大量APT攻击实例的分析,总结归纳APT的4个攻击阶段。文献[10]通过对APT各阶段行为的分析,总结归纳APT各阶段的行为特点。文献[11]针对APT攻击检测中缺乏推理规则的问题,通过对APT本体攻击行为的分析,建立APT攻击行为本体模型。文献[12]研究窃密型APT的攻击特点,针对APT攻击预测困难的问题,通过Markov链对APT攻击链进行建模,建立能够预测APT攻击的MM-TBM模型。

但是,上述方法在对窃密型APT攻击建模时,只对各攻击阶段的攻击方案进行文字描述,而没有实现形式化定义且没有对攻击方式作有效归类。为此,本文在APT攻击条件下对HARM模型进行改进,研究并建立一种窃密型APT攻击分层表示模型APT-HRM。文中给出该型APT攻击的形式化定义,并结合一次真实的APT攻击事件对模型进行有效性分析。

2 APT攻击表示模型

2.1 相关定义

将APT攻击分为上下2层,上层为攻击链(Attack Chain,AC),下层为攻击树(Attack Tree,AT)。

定义1APT-HRM模型由三元组Z表示,Z=(AC,AT,f)。其中,AC表示模型上层的APT攻击链,AT表示模型下层的APT各阶段攻击树,f=AC→AT表示攻击链中某阶段到对应攻击树的一一映射关系。

定义2攻击链AC位于APT-HRM的上层,用有向图B=(N,E)表示。其中,N是攻击链中各攻击阶段的有限集,E⊆N×N是攻击链中连接各攻击阶段的边集,其表示2个攻击阶段ni∈N和nj∈N之间的迁移,即已完成ni攻击阶段,将要进行nj攻击阶段。

定义3攻击树AT位于APT-HRM的下层,用三元组T=(S,W,G)表示。其中,S是一组攻击方案或攻击子树的有限集,W是一组攻击事件的有限集,其遵循树的排布规则,以(child,gate,parent)的形式表示,gate∈{AND-gate,OR-gate},AND-gate为逻辑“与”门,OR-gate为逻辑“或”门,G是要达成的攻击目的,其可以是某一种攻击行为的目的,如完成主动信息侦察,也可以是阶段性攻击目的,如完成侦察阶段。

本文定义一个2层的APT-HRM模型,上层攻击链AC表示APT攻击中的各阶段,下层攻击树AT表示发动APT攻击所使用的攻击方案。APT-HRM表示模型如图1所示。

图1 APT-HRM模型示意图

2.2 攻击链AC

本文建立以侦察、渗透、开采和撤出为4个攻击阶段的模型RIEE。这4个攻击阶段构成了一个完整的攻击链,如图2所示。

图2APT攻击链

侦察阶段主要完成对攻击目标的信息搜集工作。手段主要包括被动信息侦察、主动信息侦察和半被动信息侦察,目标主要包括开放的网络端口、漏洞信息、网络拓扑结构、操作系统类型、DNS信息、内网登陆地址、社会工程学信息、目标主要防御手段等。

渗透阶段主要利用侦察阶段获取的信息对目标进行渗透。手段主要包括社会工程学攻击和漏洞攻击,此处的漏洞一般为0day或1day漏洞,很难对其进行防范。目标主要为获得攻击目标单节点主机或某一应用系统的控制权。在该阶段,攻击者还会建立远程指挥控制中心(Command&Control,C&C),以对下一攻击阶段的行为进行远程控制。

开采阶段主要根据C&C指令利用单点主机或应用系统的控制权限获取敏感信息,或通过已渗透的系统对目标内部网络进行进一步渗透。手段主要有深入渗透和信息搜集。目标主要是在对象没有察觉的情况下获取其内部网络的详细信息,并进行进一步渗透和获取感兴趣的相关资料,如知识产权信息。

撤出阶段主要是将开采阶段获取的信息通过加密网络从目标网络传回攻击者手中并销毁一切攻击痕迹。手段主要包括隐秘信息回传、日志数据销毁等。目标主要是获取对象敏感信息、消除攻击痕迹。

2.3 攻击树AT

在APT-HRM中,AC中的各攻击阶段ni都有与之对应的攻击树ATi。对于某一攻击树ATi,可能存在不同的子树。只有完成了AT中各阶段对应的攻击目标,才能转入下一个阶段。

2.3.1 侦察阶段

本节列举侦察阶段的主要攻击方案,将被动侦察方案标记为RP,被动侦察完成记为R1;将主动侦察方案标记为RA,主动侦察完成记为R2;将半被动侦察方案标记为RS,半被动侦察完成记为R3。表1所示为侦察阶段AT的W三元组信息。

表1 侦察阶段AT的三元组信息

在多数已知的APT攻击中,R1和R3使用较多,尤其是RP2型和RS2型侦察手段,在目标系统防护措施较为严密的情况下仍能够获取相关的必要信息。图3所示为侦察阶段的AT示意图。

图3 侦察阶段攻击树示意图

2.3.2 渗透阶段

本节列举渗透阶段主要的攻击方案,将社会工程学渗透方案标记为IS,社会工程学渗透完成记为I1;将漏洞攻击渗透方案标记为IV,漏洞攻击渗透完成记为I2。表2所示为渗透阶段AT的W三元组信息。

表2 渗透阶段AT的三元组信息

此处需要注意的是目前比较流行的“水坑”攻击和“鱼叉”攻击。“水坑”攻击主要针对目标用户经常访问的应用系统(主要是网页)进行攻击,获取其管理权限并投放攻击代码。当目标用户访问该应用系统时就会触发预设的攻击代码,进而被渗透。因此,该攻击属于应用系统漏洞攻击范畴,此处的攻击一般基于0day漏洞,对其较难防范。“鱼叉”攻击是钓鱼攻击的一种新形式,攻击者在充分了解目标信息(包括社会关系、工作方式等)后,利用虚假信息诱骗目标运行恶意程序(通常是邮件附件)以达到渗透的目的。由于收集了目标信息,因此“鱼叉”攻击诱骗成功率比普通的钓鱼攻击高,但其仍然属于IS1和IS2的范畴。此外,攻击者可能伪造或窃取合法的数字证书来为恶意代码进行签名,此种情况下用户难以察觉目标在运行恶意代码。图4所示为渗透阶段的AT示意图。

图4 渗透阶段攻击树示意图

2.3.3 开采阶段

本节列举开采阶段主要的攻击方案,将深入渗透开采方案标记为EPD,深入渗透开采完成记为EP1;将信息搜集开采方案标记为EPI,信息搜集开采完成记为EP2。表3所示为开采阶段AT的W三元组信息。

表3 开采阶段AT的三元组信息

开采阶段是APT攻击的核心阶段,在渗透进入目标系统后,可以以当前节点或应用系统为基础进行深入渗透或直接进行信息搜集。在实际的APT攻击中,两者往往同时进行。EPI1一般包括网络节点MAC地址、处理器架构、网络拓扑结构等;EPI2一般包括操作系统类型、版本、漏洞信息、IP地址等;EPI3一般包括应用系统口令、版本、配置情况等;EPI4一般包括知识产权信息、军事战略信息等。图5所示为开采阶段的AT示意图。

图5 开采阶段攻击树示意图

2.3.4 撤出阶段

本节列举撤出阶段主要的攻击方案,将隐秘信息回传标记为EFC,回传完成记为EF1;将日志数据销毁标记为EFL,销毁完成记为EF2。表4所示为撤出阶段AT的W三元组信息。

表4 撤出阶段AT的三元组信息

EFC1主要通过SSL/TLS的加密通信、私有协议的加密通信或数据隐写技术进行通信;EFC2主要支持洋葱路由(TOR)[13-14]的匿名通信,也支持其他基于多跳的加密通信[15];EFC3主要通过将回传通信流量混淆在正常的通信流量中,使得IDS等防护设备难以寻找到异常流量。由于APT攻击持续时间可能较长,因此攻击者可以将所需数据以十分微小的流量形式进行传输。EFL1主要针对硬件防护设备的日志记录进行销毁,如硬件防火墙、IPS等;EFL2主要针对操作系统登录日志、操作日志等进行销毁;EFL3主要针对目标应用系统的操作日志进行销毁。值得注意的是,销毁只包含攻击者的日志记录时往往较困难,因此,APT攻击者往往直接销毁目标系统的所有日志信息。图6所示为撤出阶段的AT示意图。

图6 撤出阶段攻击树示意图

2.4 相关形式化示例

示例2在APT-HRM中,攻击链AC的有向图表示为C=({nR,nI,nEP,nEF},{(nR,nI),(nI,nEP),(nEP,nEF)})。其中,nR是侦察阶段,nI是渗透阶段,nEP是开采阶段,nEF是撤出阶段,(ni,nj)表示从ni阶段转移到nj阶段。

3 DUQU 2.0 APT攻击的APT-HRM表示

著名网络安全厂商卡巴斯基实验室于2015年宣布自身遭受了代号为DUQU 2.0的APT攻击,导致其部分知识产权信息被窃取。其自身经过详细地分析,于2015年6月公布了攻击的技术细节报告[16]。本文利用APT-HRM对此次攻击进行建模与分析,以检验APT-HRM模型的性能。

3.1 攻击链

DUQU 2.0攻击链包含RIEE的全部4个阶段。在侦察阶段,攻击者利用各种方法获取了卡巴斯基实验室亚太区某员工的详细信息(至少包括上下级关系、邮箱地址、内部应用系统信息等);在渗透阶段,攻击者运用社工方法诱骗实验室工作人员打开带有恶意附件的邮件,并利用3个0day漏洞获取了系统的控制权;在开采阶段,攻击者利用0day漏洞将自身权限提高到管理员级别,并利用被感染的计算机作为跳板感染网络内其他计算机,然后建立C&C对开采行动进行远程控制,同时对网络拓扑结构、操作系统信息、内网应用系统信息和知识产权信息进行搜集;在撤出阶段,攻击者利用图片数据隐写技术和流量混淆技术与C&C建立隐蔽通信,以此回传相关信息,同时对入侵记录进行销毁。

3.2 攻击树

3.2.1 侦察阶段

3.2.2 渗透阶段

3.2.3 开采阶段

在开采阶段,攻击者进行深入渗透和信息搜集。攻击者首先利用CVE-2014-6324漏洞将自身权限提升至管理员级别,随后利用被感染的计算机作为跳板攻击域内其他计算机,同时使用MSI安装包释放支持C&C控制的远程后门程序。DUQU 2.0使用的代码驻留方式十分特别,几乎没有存储于磁盘的文件,绝大部分代码运行在内存中,因此,目标很难发现磁盘上的异常。针对大规模断电导致内存信息丢失的问题,DUQU 2.0在少数直连外部网络的计算机中驻留了支持远程桌面操作的后门程序,一旦发生载荷丢失现象,可以立即对其进行重新安装。

DUQU 2.0可以看作是一个攻击平台,其通过不同的载荷实现不同的功能。在卡巴斯基实验室的报告中共描述了5种载荷、100多种载荷插件,主要包括深入渗透和信息搜集2类。其中,信息搜集的对象主要包括USB设备、DHCP及路由设备、已连接的打印机、网络适配器设置、防火墙策略等硬件信息,运行进程列表、活跃终端会话、所有网络共享和安装的程序、域管理员SID及密码HASH等操作系统信息,POP3密码、VNC密码、数据库实例信息、PuTTY主机密钥及会话等应用系统信息。

3.2.4 撤出阶段

3.3 APT-HRM表示

4 结束语

本文建立一种窃密型APT攻击分层表示模型APT-HRM。APT-HRM对APT攻击进行了形式化定义,将APT攻击分为攻击链和攻击树2层。攻击链各阶段有其对应的由不同攻击策略和方法组成的攻击树,只有完成当前阶段攻击树中的攻击目标才能转入下一个攻击阶段。因此,可以针对各阶段的攻击手段进行防范,以切断APT攻击链并最终阻止APT攻击。对DUQU 2.0 APT攻击的建模分析结果表明,该模型能够有效描述窃密型APT攻击行为,可为APT攻击的预测和防御提供参考。